1. 개요
서버에 설치된 MS-SQL의 xp_cmdshell 프로시저 취약점을 이용해 서버 권한을 탈취하고 랜섬웨어를 감염 시킨 건
2. 대상
서버 | IP | 운영체제 | DBMS |
ooo | 59.xxx.xxx.xxx | Windows Server 2008 R2 | SQL Server 2008 R2 |
oooooo | 210.xxx.xxx.xxx | Windows Server 2008 R2 | SQL Server 2008 R2 |
3. 공격기법 및 특징
1) 패킷 조사
공격자는 xp_cmdshell 프로시저를 이용해 test1.ps 라는 다운로더 코드를 서버에 내려받고 실행함
아래는 test1.ps 의 내용
2) APT 장비에 탐지된 악성코드(랜섬웨어) 다운로드 로그
January 30th 2021,22:36:50.395 RU 91.241.19.107 80 59.xxx.xxx.xxx 52,240 HTTP Executable file download from root directory - HTTP (Response) http://91.241.19.107/CnGarR8AaPNLQ6S.exe
January 30th 2021,22:40:20.394 RU 91.241.19.107 80 210.xxx.xxx.xxx 57,190 HTTP Executable file download from root directory - HTTP (Response) http://91.241.19.107/TWsTWqgRFnR4jbk.exe
3) 침해사고 상세
① 침해 서버는 MS-SQL을 사용하며 포트가 외부에 오픈되어 있는 상태
② MS-SQL은 혼합인증이 활성화된 상태(Windows 인증, ID/PASSWD 로 로그인)
③ MS-SQL의 SA 계정이 활성화된 상태
④ 공격자는 SA계정을 BruteForce하여 권한을 획득 한 후에 xp_cmdshell 프로시저 활성화 후 test1.ps 악성코드를 다운로드
⑤ test1.ps에는 랜섬웨어를 다운로드/실행 하는 명령이 있어 대상 서버에 랜섬웨어를 설치
4. IOC
구분 | IP | 위치 |
악성코드 유포 서버 | 91.241.19.107 | 러시아 |
'침해사고' 카테고리의 다른 글
PopinBorder(팝인보더) 개인정보 유출 사건 (4) | 2024.09.19 |
---|---|
naz.api 개인정보 데이터베이스 유출 사태 (0) | 2024.07.03 |
[침해사고] Cit0day 데이터베이스 유출 사태 (2) | 2022.09.06 |
[침해사고] 웹에디터 업로드 취약점을 이용한 침해사고 (0) | 2022.09.06 |
[침해사고] 크립토재킹 (Cryptojacking) 감염 (0) | 2022.09.01 |
최근댓글